Газета "Наш Мир" br> Интернет-магазины, облачные вычисления, онлайновые системы «CRM»:
каждый день многие IТ-системы требуют идентификации пользователя. Чтобы
обойти эту проблему и создать структурированную систему управления
идентификацией (IDM) в промышленности, была введена система «Single
Sign-On» (SSO). Благодаря этой системе пользователь только один раз
проходит процедуру идентификации, а все последующие проверки подлинности
выполняются автоматически, сообщает «SciencePlanet.ru».
Тем не менее, «SSO» системы, разработанные на основе отраслевого
стандарта «SAML» имеют множество уязвимых мест: примерно 80 процентов из
этих систем были сломаны исследователями из «Рурского университета» в
Бохуме (Ruhr-Universitat Bochum).
Защита с помощью цифровых подписей
«Single Sign-On» (SSO) можно сравнить с хорошо охраняемой дверью,
которая защищает конфиденциальные данные компании: после того как вы
открыли эту дверь, вы получаете доступ ко всем данным. Многие отрасли
«SSO» систем строятся на основе «Security Assertion Markup Language»
(SAML). Идентификационная информация хранится в сообщении «SAML»,
защищённом цифровой подписью. Исследователи из Бохума смогли полностью
обойти эту защиту в 12-ти из 14-ти «SAML» систем.
Обход защитных функций
«Благодаря новым методам «XML Signature Wrapping» мы смогли полностью
обойти эти цифровые подписи», - говорит профессор Йорг Швенк из
«Рурского университета». «Таким образом мы выдавали себя за других
пользователей, даже за администраторов систем». Среди 12-ти пострадавших
систем были «SaaS Cloud provider Salesforce», «IBM DataPower»,
«Onelogin» (может использоваться в качестве дополнительного модуля в
«Joomla», «Wordpress», «SugarCRM», или «Drupal») и «OpenSAML»
(используется в «Shibbolet»h, «SuisseID» и «OpenSAML»).
«После того, как мы поняли, что можем произвести успешные атаки, мы
сразу же сообщили пострадавшим компаниям, и предложили им несколько
путей обхода», - говорит эксперт по вопросам безопасности аспирант
Андреас Майер (Adolf Wurth GmbH & Co. KG). «Благодаря тесному
сотрудничеству с передовыми компаниями по безопасности, уязвимости
удалось исправить в кратчайшие сроки», - добавляет Юрай Сморовский.
|